Oracle Cloud Infrastructureドキュメント

ルックアップの管理

Oracle Log Analyticsを使用すると、ルックアップからフィールド/値の組合せを追加して、イベント・データをエンリッチできます。Oracle Log Analyticsでは、参照を使用してイベントから外部参照表にフィールドと値の組合せを照合し、一致した場合は、Oracle Log Analyticsによってフィールドと値の組合せがイベントに追加されます。

ルックアップのタイプ:
  • 簡易: この表には、行が単一の関係に対応するアイテムの簡易リストが含まれます。たとえば、エラーのルックアップ表を作成する場合、各行には、エラーID、エラー・メッセージ、原因、修正処理などの単一のエラーに関する情報が含まれます。簡易ルックアップの作成を参照してください。
  • ディクショナリ: これは、CONTAINSCONTAINS IGNORE CASE MULTILINE REGEXEQUALなどの演算子を使用して、フィールドとそのの論理関係を登録するためのより優れたオプションです。このタイプのルックアップを作成する演算子、例およびステップの包括的なリストは、ディクショナリ・ルックアップの作成を参照してください。
次に、Oracle Log Analyticsで現在使用可能なOracle定義の簡易参照表の一部を示します。
  • BEA Error Messages
  • CRS Error Messages
  • OGC Error Messages
  • ORA Error Messages
  • TNS Error Messages

参照に対するすべての操作を実行する権限については、「参照に対するすべての操作の実行をユーザーに許可する」を参照してください。

ノート

1つのルックアップ・ファイルのサイズが10MBを超えないようにしてください。ただし、ルックアップ内の行数に制限はありません。

ノート

参照のコンテンツが間接的にも表示されないようにする場合は、そのユーザーに次の権限を付与しないでください

  • ログのアップロード
  • このような制限付き参照を使用してエンリッチされたフィールドを含むログを表示します

ルックアップによるログのエンリッチの仕組み

多くの場合、ログには、分析を統合するために必要なすべての情報が含まれるわけではありません。このような場合、ログのデータをよりわかりやすくするために、すでに照合した情報を取得するためのルックアップ表を作成できます。たとえば、ログ・イベントのError IDフィールドには、エラーの説明がありません。Error IDを説明にマップするルックアップを作成し、フィールド・エンリッチメント・オプションを使用してその説明をログ・レコードの検索で使用可能にできます。ルックアップを作成できるシナリオの例:

  • 製品在庫: 製品ID、技術仕様、価格、利用可能在庫、ラック番号
  • 従業員情報: 従業員ID、個人情報、組織、職務、階級、給与、管理者
  • ライブラリ参照: タイル、作成者、サマリー、エディション、前のエディション、価格

ルックアップの使用方法

主に、ソース参照関数を使用して、取込み時に単純な参照を使用できます。「ソースでの収集時参照の使用」を参照してください。

次に示すように、問合せ時に単純な参照を使用することもできます。

次のlookup問合せでは、Error IDフィールドをマップすることでルックアップ表ORA Error Messagesからエラー・メッセージが取得され、Log SourceやEntityなどの他のフィールドとともにサマリー表に表示されます: 

'Error ID' like 'ORA%' | lookup table = 'ORA Error Messages' select errmsg using 'Error ID' = errid | fields -*, 'Log Source', Entity, errmg
  • ログからの情報:
    • Error ID: ORA%の形式で指定された、ログに含まれるエラーID
    • Log Source: ログのログ・ソース
    • Entity: ログのエンティティ
  • Oracle定義のルックアップ表ORA Error Messagesからの情報:
    • errid: ORA%の形式で指定されたエラーID
    • errmsg: エラーIDに対応するエラー・メッセージ

    ORA Error Messagesルックアップ表で使用可能なその他の詳細は、各エラーIDのerrcause (エラーの原因)およびerraction (エラー・アクション)です。ルックアップ表の内容を表示するには、次のようにsearchlookupコマンドを使用します: 

    * | searchlookup table = 'ORA Error Messages'

ルックアップの詳細の表示

  1. ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。

  2. 管理リソースが、左側のナビゲーション・ペインにある「管理」の下にリストされます。「ルックアップ」をクリックします。

  3. 「ルックアップ」で、詳細を表示するルックアップをクリックします。

    ルックアップの詳細ページに、作成中に指定した詳細と、ルックアップ表の内容が表示されます。「リソースの移動」「タグの追加」「削除」などのアクションを実行することもできます。これらのアクションの詳細については、次のセクションを参照してください。

ルックアップで他のアクションを実行するには、「ルックアップ」リスト・ページで、ルックアップの「コンパートメント」「タイプ」および「作成タイプ」を選択し、検索バーでルックアップの検索を絞り込みます。タグ・フィルタを含めると、タグでルックアップをフィルタすることもできます。ルックアップを識別した後、ルックアップの行で[アクション]アイコン「アクション」アイコンをクリックします。

  • ファイルの再アップロード: ユーザーが作成した参照の場合、新しいバージョンの参照表がある場合、または前回のアップロードに失敗した場合は、再アップロードできます。

  • 削除: 古い参照または未使用の参照の一部を削除する必要がある場合があります。ルックアップを削除するには、「ルックアップの削除」ダイアログ・ボックスで確認します。参照を削除できるのは、ユーザーが作成している場合のみです。

  • OCIDのコピー: 参照リソースのOCIDがコピーされます。これを使用して、Oracle Cloud Infrastructure内の任意の場所でこのリソースを参照できます。
  • ソースの移動: 「別のコンパートメントへのリソースの移動」ダイアログ・ボックスが表示されます。オプションで、ルックアップを移動するコンパートメントを選択し、「リソースの移動」をクリックします。
  • タグの追加: Log Analyticsリソースへのタグの追加を参照してください。

既存のルックアップの更新

  1. フィールドと値の組合せでCSVファイルを更新します。

  2. ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。

  3. 管理リソースが、左側のナビゲーション・ペインにある「管理」の下にリストされます。「ルックアップ」をクリックします。

  4. 「ルックアップ」で、更新するルックアップに対応する行の「アクション」「処理」メニューアイコンをクリックし、「ファイルを再アップロード」をクリックします。

    「ファイルを再アップロード」ダイアログ・ボックスが開きます。

  5. 前に作成した更新済のルックアップCSVファイルを選択し、「アップロード」をクリックします。

簡易ルックアップの作成

簡易ルックアップを作成した後、searchlookupコマンドを使用して問合せを実行し、ルックアップの値をリストします。問合せでlookupコマンドを使用して、出力フィールドをそれらの値にマップします。

  1. フィールドと値の組合せでルックアップCSVファイルを作成します。たとえば、エラーIDを説明にマップするルックアップを作成するには:

    errid,description
02323,Network Not Reachable
09912,User Activity
12322,Out of Memory

    最初の行が、後続の行の値に対するerridおよびdescriptionというタイトルのヘッダーになることに注意してください。

  2. ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。

  3. 管理リソースが、左側のナビゲーション・ペインにある「管理」の下にリストされます。「ルックアップ」をクリックします。

    参照リスト・ページが表示されます。左側のナビゲーション・ペインから、ルックアップを作成する必要があるコンパートメントを選択します。

  4. 「ルックアップ」で、「ルックアップの作成」をクリックします。

  5. 「ルックアップの作成」ページで、server error code lookupsなどのルックアップ名と、オプションの説明を入力します。

  6. 「タイプ」で、「簡易」を選択します。

  7. 前に作成したルックアップCSVファイルを選択します。

  8. オプションで、「拡張オプションの表示」セクションを展開し、参照にタグを追加します。「作成」をクリックします。

ディクショナリ・ルックアップの作成

ディクショナリ・タイプ・ルックアップの作成後、searchlookupコマンドを使用してルックアップをリストします。問合せでlinkまたはclusterコマンドを使用した後にのみ、lookupコマンドを使用して任意の問合せでフィールドにマップします。

その他のトピック:

ディクショナリ・タイプ参照は問合せ時にのみ使用でき、ソース・ファンクションの取込み時には使用できません。

クラスタおよびリンクでのディクショナリ・ルックアップの使用例は、クラスタでのディクショナリ・ルックアップの使用およびリンクでのディクショナリ・ルックアップの使用を参照してください。

ディクショナリ参照を使用したジオロケーションの指定の例は、「参照を使用したジオロケーションの指定」を参照してください。

  1. フィールドと値の組合せでルックアップCSVファイルを作成します。

    例:

    Operator,Condition,Issue,Area
CONTAINS,message header or abbreviation processing failed,Processing Error,Messaging
CONTAINS,Failed to associate the transaction context with the response while marshalling,Marshalling Error,Response
CONTAINS,A RuntimeException was generated by the RMI server,Exception,RMI

    最初の行はヘッダーで、OperatorConditionは同じ順序で指定された必須フィールドです。後続のパラメータは、ヘッダー行で必須パラメータの後にリストされます。後続の行は、ヘッダー行に同じ順序でリストされているパラメータの値です。

    有効な演算子とその使用例のリストは、次の表を参照してください。

    ノート:

    • フィールドにカンマが含まれる場合、フィールド全体を二重引用符で囲みます。

    • フィールドに二重引用符が含まれる場合、2つの二重引用符を使用して二重引用符をエスケープします。

  2. ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。

  3. 管理リソースが、左側のナビゲーション・ペインにある「管理」の下にリストされます。「ルックアップ」をクリックします。

    参照リスト・ページが表示されます。検索バーで、ルックアップを作成する必要があるコンパートメントを選択します。

  4. 「ルックアップ」で、「ルックアップの作成」リンクをクリックします。

  5. 「ルックアップの作成」ページで、cluster dictionary lookupsなどのルックアップ名と、オプションの説明を入力します。

  6. 「タイプ」で、「ディクショナリ」を選択します。

  7. 前に作成したルックアップCSVファイルを選択します。

  8. オプションで、「拡張オプションの表示」セクションを展開し、参照にタグを追加します。「作成」をクリックします。

CIDRMATCH演算子

CIDRMATCH演算子では、ディクショナリ・ルックアップ内でCIDR (Classless Inter-Domain Routing)一致操作ルールがサポートされます。たとえば、次のディクショナリでは、入力IPアドレスが192.0.2.0から192.0.2.255までの範囲内にある場合、Network NameとしてDatabase Networkが返されます: 

Operator,Condition,Network Name
CIDRMATCH,192.0.2.10/24,Database Network

有効な演算子とその使用例のリスト

演算子 説明

CONTAINS

Conditionフィールドに指定した文字列が値に含まれる場合はTrue。大/小文字は区別されます

CONTAINS,Request 'GetResponse' Timed out,Timeout Error

CONTAINS IGNORE CASE

前と同じですが、大/小文字の区別は無視されます

CONTAINS IGNORE CASE,request 'getresponse' timed out,Timeout Error

CONTAINS REGEX

指定した正規表現に値が一致する場合はTrue

CONTAINS REGEX,Request '\S+' Timed out,Timeout Error

CONTAINS IGNORE CASE REGEX

前と同じですが、大/小文字の区別は無視されます

CONTAINS IGNORE CASE REGEX,request '\S+' timed out,Timeout Error

CONTAINS MULTILINE REGEX

複数行の文字列に対して照合するには、これを使用します

CONTAINS MULTILINE REGEX,Request 'GetResponse' Timed out,Timeout Error

CONTAINS IGNORE CASE MULTILINE REGEX

前と同じですが、大/小文字の区別は無視されます

CONTAINS IGNORE CASE MULTILINE REGEX,Request 'GetResponse' Timed out,Timeout Error

CONTAINS ONE OF REGEXES

複数の正規表現を指定します。少なくとも1つの一致がある場合はTrue。

[]内に正規表現をカンマで区切ってリストします。正規表現にカンマを含めることはできません。

正規表現内で二重引用符を使用する必要がある場合は、別の二重引用符を使用して各二重引用符をエスケープします。

CONTAINS ONE OF REGEXES,"[Request '\S+' Timed out,Server\S+Timed out]",Timeout Error

NOT CONTAINS

指定した文字列が含まれません

NOT CONTAINS,Request 'GetResponse' Timed out,Success

EQUAL

コンテンツが指定した値と等しいです

EQUAL,500,HTTP Server Error

EQUAL IGNORE CASE

前と同じですが、大/小文字の区別は無視されます

EQUAL,In-Progress,Request In Progress

NOT EQUAL

コンテンツが指定した値と等しくない場合はTrue

NOT EQUAL,200,HTTP Request Failed

STARTS WITH

コンテンツの先頭と比較します

STARTS WITH,Request failed with,Fail

ENDS WITH

コンテンツの末尾と比較します

ENDS WITH,timed out,Timeout

IN

少なくとも1つの値が等しい場合はTrue

IN,"[500,501,502,503]",HTTP Server Error

IN IGNORE CASE

前と同じですが、大/小文字の区別は無視されます

IN IGNORE CASE,[fail,timeout,error,fatal],Request Failed

NOT IN

コンテンツがリスト内のどの値とも等しくない場合はTrue

NOT IN,"[500,501,503,400,401,404]",HTTP Request Successful

NULL

フィールドのコンテンツがnullの場合はTrue

NULL,,No Value

NOT NULL

フィールドのコンテンツがnullでない場合はTrue

NOT NULL,,Value Present

CIDRMATCH

ディクショナリ・ルックアップ内でCIDR (Classless Inter-Domain Routing)一致操作ルール

CIDRMATCH演算子を参照してください。

数値演算子および論理演算子と例のリスト

ノート

数値演算子と文字列演算子が同じディクショナリ内に混在していないことを確認してください。同じディクショナリに演算子が混在している場合、文字列値が問合せで渡されると、数値演算子を使用した照合中にタイプに関するエラー・メッセージが返されます。
演算子 説明

=

数値が等しい

=,1,Value is 1

!=

数値が等しくない

!=,1,Value is Not 1

>

指定した値より大きい

>,1,Value is above 1

<

指定した値より小さい

<,1,Value is below 1

>=

指定した値以上

>=,1,Value is equal or above 1

<=

指定した値以下

<=,1,Value is equal or below 1

BETWEEN

指定した2つの値の間(両端を含む)

BETWEEN,1-10,Value is equal or above 1 and equal or below 10

> AND <

N1より大きく、かつ、N2より小さい

> AND <,1-10,Above 1 and below 10

>= AND <=

BETWEENと同じ。N1以上、かつ、N2以下

>= AND <=,1-10,Above or equal to 1 and below or equal to 10

>= AND <

N1以上、かつ、N2より小さい

>= AND <,1-10,Above or equal to 1 and below 10

> AND <=

N1より大きく、かつ、N2以下

> AND <=,1-10,Above 1 and below or equal to 10

> OR <

N1より大きい、または、N2より小さい

> OR <,1-10

1より大きい、または、10より小さい

>= OR <=

N1以上、または、N2以下

>= OR <=,100-10,Above or equal to 100 or below or equal to 10

>= OR <

N1以上、または、N2より小さい

>= OR <,10-1,Above or equal to 10 or below 1

> OR <=

N1より大きい、または、N2以下

> OR <=,100-10,Above 100 or below or equal to 10

>= OR !=

N1以上、または、N2と等しくない

>= OR !=,10-1,Above or equal to 10 or not equal to 1

<= OR !=

N1以下、または、N2と等しくない

<= OR !=,10-100,Below or equal to 10 or not equal to 100

>= OR =

N1以上、または、N2と等しい

>= OR =,10-1,Above or equal to 1 or equal to 1

<= OR =

N1以下、または、N2と等しい

<= OR =,10-100,Below or equal to 10 or equal to 100

> AND !=

N1より大きく、かつ、N2と等しくない

> AND !=,10-100,Above 10 and not equal to 100

< AND !=

N1より小さく、かつ、N2と等しくない

< AND !=,10-1,Below 10 and not equal to 1

ディクショナリ・ルックアップ定義時のコメントの使用

ディクショナリ・ルックアップにコメントを追加するには、最初のフィールドとして#を使用します。次に、コメントを含むサンプル・ルックアップの例を示します: 

Operator,Condition,Label,Module
# ----------------------------------
# Startup/Shutdown and Terminations
# ----------------------------------
CONTAINS,Server started in RUNNING mode,Server Started,WebLogic Server
CONTAINS,A critical service failed. The server will shut itself down,Server Shutdown,WebLogic Server
CONTAINS,state changed to FAILED,Server Failed,
CONTAINS,Removing .* from cluster view due to PeerGone,Cluster Removed,WebLogic Server
# ----------------------
# Connection Error / Timeouts and Slowness
# ----------------------
CONTAINS,Unable to connect to WSM policy manager,WSM Policy Manager Connection Error,
CONTAINS REGEX,java.sql.SQLTimeoutException: \S+: user requested cancel of current operation,SQL Timeout,Database
CONTAINS,This member is running extremely slowly and may endanger the rest of the cluster,WebLogic Cluster Slowness,WebLogic Server

問合せでのディクショナリ・ルックアップの使用

同じディクショナリを複数の問合せで使用できます。たとえば、次の問合せでは、同じディクショナリがMessageフィールドに適用され、円グラフのビジュアライゼーションを使用してロールアップされた結果が表示されます: 

'Log Source' = 'Linux Syslog Logs'
| lookup table = 'Linux Error Categories' select Issue, Area using Message
| stats count by Area

問合せでのディクショナリ・ルックアップの使用

参照に対するすべての操作の実行をユーザーに許可

個々のリソース・タイプ: loganalytics-lookup

集約リソース・タイプの一部: loganalytics-features-family

ファミリ・ポリシーが定義されていない場合のリソース・ポリシー・ステートメント:

ユース・ケース IAMポリシー

ルックアップはテナンシに存在できます

 allow group <user_group> to READ loganalytics-lookup in tenancy

ルックアップの権限を特定のコンパートメントに制限します。

 allow group <user_group> to READ loganalytics-lookup in compartment <compartment_name>

前述のポリシー・ステートメントで、必要なスコープ(テナンシまたはコンパートメント)を持つルックアップ・リソースに対する権限を制限するには、リソース・タイプ・ファミリおよびより大きなスコープをカバーする他のポリシー・ステートメントが存在してはならないことに注意してください。

ノート

参照のコンテンツが間接的にも表示されないようにする場合は、そのユーザーに次の権限を付与しないでください

  • ログのアップロード
  • このような制限付き参照を使用してエンリッチされたフィールドを含むログを表示します

loganalytics-lookupのIAMポリシーを作成するときに、各動詞で次の操作を実行できます:

Inspect Read Use Manage

NA

NA

ルックアップの登録

「管理」には、「使用」と同じレベルの権限およびAPI操作があります。

通常、管理者のみが参照を作成または削除するためのUSEおよびMANAGE権限を持ちます。ルックアップ問合せを実行する権限が必要な場合は、READ権限が必要です。

参照リソースの権限をカバーするファミリ・ポリシー・ステートメントの集計:

ユース・ケース IAMポリシー

ルックアップはテナンシに存在できます

 allow group <user_group> to read loganalytics-features-family in tenancy
ノート

サービスに初めてナビゲートするときに使用可能なオンボーディングUIを使用してOracle Log Analyticsを有効にした場合、一部のポリシーがすでに作成されます。Log Analyticsのオンボーディング中に作成されたポリシーを参照してください。

参照リソースの使用権限

通常、管理者のみが参照を作成または削除するためのUSEおよびMANAGE権限を持ちます。ルックアップ問合せを実行する権限が必要な場合は、READ権限が必要です。

すでにログ・エクスプローラ、SDKまたはCLIを使用して問合せを実行している場合は、既存のOracle定義およびユーザー作成参照でsearchlookupまたはlookup問合せコマンドを実行するために必要な権限がすでにあります。

インスタンス・プリンシパルを使用して問合せを実行する場合は、動的グループへのloganalytics-features-familyアクセス権をまだ提供していない場合に、次の権限を指定します。 

Allow dynamic-group <dynamic-group-name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy

または

Allow dynamic-group <dynamic-group-name> to {LOG_ANALYTICS_LOOKUP_READ} in compartment <compartment_name>